Beschreibung des Sicherheitsupdates für die Sicherheitslücke bei der Offenlegung von Informationen in Visual Studio 2015 Update 3: 10. April 2018
Gilt für: Alle Editionen von Visual Studio 2015 Update 3 mit Ausnahme isolierter und integrierter Shells
Beachten
Im November 2020 wurde der Inhalt dieses Artikels aktualisiert, um die betroffenen Produkte, Voraussetzungen und Neustartanforderungen zu klären. Darüber hinaus wurden die Update-Metadaten in WSUS überarbeitet, um einen Fehler bei der Berichterstattung im Microsoft System Center Configuration Manager zu beheben.
Zusammenfassung
Es besteht eine Sicherheitslücke hinsichtlich der Offenlegung von Informationen, wenn Visual Studio beim Kompilieren von Programmdatenbankdateien (PDB) fälschlicherweise begrenzte Inhalte des nicht initialisierten Speichers offenlegt. Ein Angreifer, der die Sicherheitslücke ausnutzt, könnte den nicht initialisierten Speicher des Computers einsehen, der zum Kompilieren einer Programmdatenbankdatei verwendet wird.
Weitere Informationen zur Sicherheitslücke finden Sie unter CVE-2018-1037 .
So erhalten Sie das Update und installieren es
Methode 1: Microsoft-Download
Die folgende Datei steht zum Download bereit: 
Methode 2: Microsoft Update-Katalog
Um das eigenständige Paket für dieses Update zu erhalten, besuchen Sie die Microsoft Update Catalog -Website.
Mehr Informationen
Voraussetzungen
Um dieses Sicherheitsupdate anzuwenden, müssen Sie sowohl Visual Studio 2015 Update 3 als auch die nachfolgende kumulative Wartungsversion KB 3165756 installiert haben. Normalerweise wird KB 3165756 automatisch installiert, wenn Sie Visual Studio 2015 Update 3 installieren. In einigen Fällen müssen Sie die beiden Pakete jedoch separat installieren.
Neustartanforderung
Wir empfehlen Ihnen, Visual Studio 2015 zu schließen, bevor Sie dieses Sicherheitsupdate installieren. Andernfalls müssen Sie möglicherweise den Computer neu starten, nachdem Sie dieses Sicherheitsupdate angewendet haben, wenn eine Datei, die aktualisiert wird, geöffnet ist oder von Visual Studio verwendet wird.
Informationen zum Ersetzen von Sicherheitsupdates
Dieses Sicherheitsupdate ersetzt keine anderen Sicherheitsupdates.
Probleme, die in diesem Sicherheitsupdate behoben werden
Dieses Sicherheitsupdate behebt das in CVE-2018-1037 beschriebene PDB-Problem, bei dem eine PDB-Datei möglicherweise nicht initialisierten Heap-Inhalt in einem Prozess enthält, der eine vorhandene PDB-Datei aktualisiert, z. B. Mspdbsrv.exe. Wir empfehlen Ihnen dringend, das aktualisierte PDBCopy-Tool zu verwenden, um alle vorhandenen PDBs zu überprüfen, die Sie freigeben oder verteilen möchten.
Probleme, die durch dieses Sicherheitsupdate nicht behoben werden
Wenn Sie die Linkeroption /DEBUG:fastlink verwenden, um Ihre Projekte oder Lösungen zu erstellen, und Mspdbcmf.exe verwenden, um vom Linker generierte Fastlink-PDB-Dateien in vollständige PDB-Dateien zu konvertieren, könnten die resultierenden vollständigen PDB-Dateien auch diese Informationen enthalten: Offenlegungsrisiko. Um ein Update für Visual Studio 2015 Mspdbcmf.exe zu erhalten, lesen Sie diesen Knowledge Base-Artikel .
Wenn Sie auch Visual Studio 2017 verwenden, können Sie die Datei Mspdbcmf.exe verwenden, die in der neuesten Vorschau oder Aktualisierung von Visual Studio 2017 enthalten ist, um Fastlink-PDB-Dateien zu konvertieren, die vom Visual Studio 2015-Linker generiert werden. (PDBs, die von der neuesten Mspdbcmf.exe-Datei von Visual Studio 2017 generiert werden, sind nicht anfällig.)
Datei-Hash-Informationen
Dateiname | SHA1-Hash | SHA256-Hash |
|---|---|---|
vs14-kb4087371.exe | DF129BA5448973FBD81471107E16C7D2E0199BB7 | C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Installationsüberprüfung
Um zu überprüfen, ob dieses Sicherheitsupdate korrekt angewendet wird, führen Sie die folgenden Schritte aus:
Öffnen Sie den Programmordner von Visual Studio 2015.
Suchen Sie die Datei Mspdbcore.dll.
Stellen Sie sicher, dass die Dateiversion gleich oder größer als 14.0.27534 ist.
Informationen zu Schutz, Sicherheit und Support
Schützen Sie sich online: Unterstützung für Windows-Sicherheit
Erfahren Sie, wie wir uns vor Cyber-Bedrohungen schützen: Microsoft Security
Erhalten Sie lokalen Support für Ihr Land: Internationaler Support
Weitere Informationen zur Visual Studio-Supportrichtlinie erhalten Sie: Visual Studio-Produktlebenszyklus und -Wartung .
No comments:
Post a Comment